Поделиться
Внедрение СУИБ: как управлять рисками?
Благородное дело оценки рисков является принципиальной задачей при внедрении системы управления информационной безопасностью (СУИБ). Но специалисты в этой области далеки от единодушия. Они не только расходятся в методах оценки, но и вообще толком не знают, как этими рисками управлять.Таким образом, по результатам оценки можно получить описание рисков, превышающих допустимый уровень и реальное представление об их величине. Последняя определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на вопросы о выборе варианта обработки рисков, механизмах контроля их минимизации и степени эффективности.
На выходе данного процесса появляется план обработки рисков, определяющий способы, стоимость контрмер, а также сроки и ответственных за их реализацию.
Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления внедрением СУИБ. Чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта: сообщение о проблеме, оценка степени ее серьезности, предлагаемое и альтернативные решения.
Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров. Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
Для принятия сбалансированного решения по обработке рисков, сотрудник, занимающийся этим вопросом, должен иметь всеобъемлющую информацию о проблеме
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, осмысление угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
Затем производится технический анализ уязвимостей информационных систем организации в отношении угроз, профили которых были разработаны на предыдущем этапе. Он включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьей стадии производится оценка и обработка рисков ИБ. Здесь производится определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.
В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки вообще и, если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащийся в базе знаний CRAMM.
На первом этапе в методе CRAMM строится модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность последних, исходя из возможного ущерба, который может понести организация
Следующая ступень – оценка рисков, включающая в себя идентификацию и осмысление степени вероятности угроз, величины уязвимостей, а также вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM принимаются во внимание "чистые" риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются, и набор рекомендуемых контрмер по минимизации рисков создается, исходя из этого предположения.
На заключительной стадии инструментарием CRAMM формируется список контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих противодействий, после чего формируется собственно план обработки рисков.
Инструментарий для управления рисками
В процессе оценки рисков традиционно выделяют ряд последовательных этапов, например, переоценивая определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документацию, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с ними.
Для управления рисками ИБ можно применять программный инструментарий, однако это не является обязательным. Об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограммированный алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.
Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.
Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.
Итак, выбор качественного или количественного подходов к оценке рисков определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости предприятия.
При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей и соответствующее ПО, которое реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов.
Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.
Александр Астахов / CNews
Поделиться
Короткая ссылка
